Politica de Confidentialitate
Ultima actualizare: 28 aprilie 2026
Foxa Learning Inc. ("noi", "al nostru", "Foxa") opereaza platforma educationala "10 la Examen", care include aplicatia mobila pentru elevi, portalul web pentru parinti si site-ul de marketing (colectiv, "Serviciul"). Aceasta politica explica ce date personale colectam, de ce le folosim, cum le protejam, cu cine le partajam si ce drepturi aveti, in conformitate cu Regulamentul General privind Protectia Datelor (GDPR - Regulamentul UE 2016/679) si legislatia romana aplicabila.
Serviciul este folosit inclusiv de elevi de 13 si 14 ani. In Romania, pentru servicii online oferite direct copiilor, consimtamantul valabil al copilului este posibil numai de la 16 ani. Pentru elevii sub 16 ani, prelucrarea datelor se face numai cu consimtamantul sau autorizarea parintelui ori tutorelui legal.
Rezumat pentru elevi
Daca esti elev, pe scurt:
- Avem nevoie ca parintele sau tutorele tau sa creeze mai intai accesul pentru tine.
- Folosim emailul tau ca sa te poti autentifica si ca sa iti poti reseta parola.
- Folosim raspunsurile tale, sesiunile de invatare si progresul tau ca aplicatia sa iti arate exercitii potrivite.
- Parintele tau poate vedea progresul tau in portalul pentru parinti.
- Nu vindem datele tale, nu iti aratam reclame si nu trimitem date catre retele de publicitate.
- Nu cerem camera, microfon, locatie, contacte, fotografii sau fisiere.
- Notificarile sunt optionale.
- Folosim servicii de analiza si raportare erori ca sa intelegem daca aplicatia merge bine, dar le configuram sa colecteze cat mai putine date si sa nu inregistreze ecranul in aplicatia elevului.
- Tu sau parintele tau puteti cere stergerea contului.
1. Operator de Date
Operatorul de date responsabil pentru prelucrarea datelor personale este:
Foxa Learning Inc.
Email: contact@10laexamen.ro
In calitate de operator, stabilim scopurile si mijloacele prelucrarii datelor personale. Pentru intrebari, solicitari GDPR sau retragerea consimtamantului parental, ne puteti contacta la adresa de mai sus.
2. Date Personale Colectate
Colectam date diferite in functie de tipul de utilizator si de modul in care este folosit Serviciul.
2.1 Date furnizate de parinti
Cand un parinte creeaza un cont, se autentifica sau adauga un copil, colectam:
| Date | Obligatoriu | Scop |
|---|---|---|
| Email parinte | Da | Autentificare, comunicari de cont, recuperare parola |
| Parola parinte | Da | Autentificare; parola este gestionata de Supabase Auth si stocata in forma hash, nu in text clar |
| Prenume copil | Da, la generarea codului | Identificarea copilului in portalul parental si dovada consimtamantului |
| Nume copil | Da, la generarea codului | Identificarea copilului in portalul parental si dovada consimtamantului |
| Relatia parinte-copil | Da | Permite parintelui sa vada progresul copilului si sa gestioneze contul copilului |
| Confirmarea consimtamantului | Da | Dovada ca parintele/tutorele a autorizat prelucrarea datelor copilului |
2.2 Date furnizate de elevi
Cand un elev activeaza contul cu un cod primit de la parinte si foloseste aplicatia, colectam:
| Date | Obligatoriu | Scop |
|---|---|---|
| Cod de activare | Da | Legarea contului de elev de consimtamantul si contul parintelui |
| Email elev | Da | Autentificare si recuperare parola |
| Parola elev | Da | Autentificare; parola este gestionata de Supabase Auth si stocata in forma hash |
| Prenume | Nu | Personalizarea experientei in aplicatie si confirmarea stergerii contului |
| Nume | Nu | Personalizarea experientei in aplicatie si confirmarea stergerii contului |
| Clasa | Nu | Personalizarea continutului educativ |
| Materie/examen selectat | Da, cand elevul foloseste continutul | Afisarea continutului relevant |
2.3 Date de invatare generate in aplicatie
Pentru ca aplicatia sa functioneze, generam si stocam date despre activitatea educationala:
| Categorie | Exemple de date | Scop |
|---|---|---|
| Sesiuni | Data/ora inceput, data/ora sfarsit, tip sesiune, competenta exersata | Calcul progres, activitate saptamanala, recomandari de repetitie |
| Raspunsuri la carduri | Card, corect/incorect, timp de raspuns, ordine in sesiune | Algoritm de invatare adaptiva si repetitie spatiata |
| Stare carduri | Nivel/bucket, data urmatoarei revizuiri | Programarea automata a revizuirilor |
| Stare competente si materii | Nivel de stapanire, progres pe materie | Afisarea progresului catre elev si parinte |
| Teste si demo onboarding | Scor, numar carduri, rezultat | Finalizarea onboardingului si afisarea progresului |
2.4 Date de onboarding si preferinte
In timpul onboardingului elevului, putem colecta:
| Date | Scop |
|---|---|
| Obiectiv de invatare ales | Personalizarea mesajelor si recomandarilor |
| Puncte dificile/pain points selectate | Intelegerea nevoilor elevului |
| Subiecte considerate dificile | Recomandarea continutului potrivit |
| Tinta zilnica de minute | Afisarea obiectivelor de invatare |
| Rezultatul permisiunii de notificari | Salvarea preferintei pentru mementouri |
2.5 Feedback optional
Elevul poate trimite voluntar feedback despre carduri sau teorie. In acest caz, colectam:
| Date | Scop |
|---|---|
| Tip feedback: card sau teorie | Identificarea zonei de continut |
| Mesaj feedback | Corectarea si imbunatatirea continutului |
| ID card, ID competenta sau ID sesiune | Gasirea continutului raportat |
| ID numeric elev | Prevenirea abuzului si intelegerea contextului raportarii |
Mesajul este introdus liber de elev. Elevii sunt incurajati sa nu includa date personale inutile in mesajele de feedback.
2.6 Dovada consimtamantului parental
Cand parintele sau tutorele legal acorda consimtamantul pentru copil, stocam:
| Date | Scop |
|---|---|
| ID parinte | Legarea consimtamantului de parintele autentificat |
| ID cod activare | Legarea consimtamantului de contul copilului |
| Prenume si nume copil introduse de parinte | Dovada pentru ce copil a fost acordat consimtamantul |
| Adresa IP parinte | Dovada tehnica a acordarii consimtamantului |
| User agent browser parinte | Dovada circumstantelor tehnice |
| Metoda | De exemplu, "parent_web_portal" |
| Versiunea politicii | Dovada textului acceptat |
| Data si ora | Dovada temporala |
Aceste date sunt folosite pentru conformitate si audit, nu pentru profilare sau marketing.
2.7 Date tehnice, analytics si erori
Vom folosi analytics si monitorizare erori in aplicatia mobila pentru elevi, in portalul web pentru parinti si, daca este necesar, pe site-ul de marketing.
PostHog (analytics de produs)
PostHog ne ajuta sa intelegem cum este folosit Serviciul si unde apar blocaje. In special, putem colecta evenimente precum:
- autentificare reusita/esuat;
- inceperea si finalizarea fluxului de activare;
- pasi de onboarding finalizati;
- selectii de obiective, pain points, preferinte si notificari;
- pornirea, finalizarea, intreruperea sau abandonarea sesiunilor;
- deschiderea teoriei sau extinderea explicatiilor;
- atingerea obiectivului zilnic;
- actiuni din portalul parintelui, precum adaugarea copilului, vizualizarea progresului sau schimbarea setarilor.
Evenimentele sunt asociate cu un identificator intern, de exemplu ID numeric elev sau ID cont parinte. Pentru elevi, configuram PostHog pentru minimizare: fara session replay in aplicatia elevului, fara colectare automata de proprietati de dispozitiv acolo unde poate fi dezactivata, fara colectare automata de continut introdus in formulare si fara folosirea datelor pentru reclame. In portalul pentru parinti, folosim analytics pentru functionalitate, securitate, imbunatatire produs si suport, nu pentru publicitate comportamentala.
Sentry (monitorizare erori)
Sentry ne ajuta sa identificam si sa remediem erori tehnice. Putem colecta:
- mesajul erorii, stack trace, fisier/linie si versiunea aplicatiei;
- ruta sau ecranul unde a aparut eroarea;
- sistem de operare, browser sau platforma, acolo unde sunt transmise de SDK;
- ID numeric elev sau ID cont parinte, daca utilizatorul este autentificat;
- context tehnic adaugat de noi, de exemplu numele operatiunii care a esuat.
Configuram Sentry pentru minimizare: sendDefaultPii: false unde este disponibil, fara atasarea intentionata a parolelor, emailurilor, numelor, tokenurilor, continutului raspunsurilor sau mesajelor libere, fara session replay in aplicatia elevului si fara loguri extinse pentru aplicatia elevului. Pot exista metadate tehnice procesate de furnizor pentru functionarea serviciului si securitate, conform documentatiei si setarilor furnizorului.
Supabase (infrastructura)
Supabase este folosit pentru baza de date, autentificare, sesiuni, emailuri de resetare parola si functii serverless. Supabase stocheaza datele personale necesare functionarii Serviciului.
Notificari push (optional)
Aplicatia elevului poate solicita optional permisiunea pentru notificari. Daca elevul accepta, colectam tokenul Expo Push, platforma (iOS/Android/web), ora preferata pentru memento si starea preferintei. Notificarile pot fi livrate prin Expo Push Service, Apple Push Notification service si Firebase Cloud Messaging, in functie de dispozitiv.
3. Scopuri si Temeiuri Legale
3.1 Executarea contractului
Folosim acest temei pentru:
- autentificarea utilizatorilor;
- crearea si activarea conturilor;
- functionarea aplicatiei educationale;
- stocarea progresului si afisarea progresului catre elev si parinte;
- resetarea parolelor si mentinerea sesiunilor;
- gestionarea setarilor contului.
3.2 Consimtamant parental
Pentru elevii sub 16 ani, prelucrarea datelor personale ale elevului este conditionata de consimtamantul sau autorizarea parintelui/tutorelui legal. Consimtamantul acopera crearea contului copilului, utilizarea aplicatiei educationale, datele de progres, analytics de produs configurat cu minimizare, monitorizarea erorilor si notificarile optionale daca elevul le activeaza.
Parintele poate retrage consimtamantul in orice moment. Retragerea duce la stergerea contului copilului, cu pastrarea doar a datelor anonimizate sau a datelor care trebuie pastrate pentru obligatii legale.
3.3 Interes legitim
Folosim interesul legitim pentru:
| Prelucrare | Interes legitim | Masuri de protectie |
|---|---|---|
| Monitorizare erori Sentry | Stabilitatea si securitatea Serviciului | Minimizare PII, fara replay in aplicatia elevului, identificatori interni |
| Analytics PostHog | Intelegerea folosirii produsului si imbunatatirea experientei | Fara reclame, fara brokeri de date, evenimente limitate, identificatori interni |
| Audit intern si operatiuni sensibile | Integritatea datelor si prevenirea abuzului | Acces limitat, jurnalizare tehnica |
| Date anonimizate/statistice | Imbunatatirea continutului si algoritmilor | Eliminarea legaturii cu o persoana identificabila |
3.4 Obligatie legala
Folosim acest temei pentru pastrarea dovezii consimtamantului parental, raspunsul la cereri GDPR, indeplinirea obligatiilor de securitate si cooperarea cu autoritatile competente.
4. Protectia Datelor Copiilor
4.1 Varsta si consimtamant
Serviciul este destinat inclusiv elevilor de 13 si 14 ani. Pentru orice elev sub 16 ani:
- parintele/tutorele trebuie sa creeze mai intai contul de parinte;
- parintele/tutorele trebuie sa accepte explicit politica de confidentialitate;
- se genereaza un cod de activare pentru copil;
- elevul nu poate crea contul fara codul de activare.
4.2 Minimizare
Pentru elevi:
- nu solicitam CNP, date de sanatate, date biometrice, locatie GPS, contacte, fotografii, fisiere, camera sau microfon;
- nu afisam reclame;
- nu vindem date si nu partajam date cu retele de publicitate;
- nu folosim datele elevilor pentru publicitate comportamentala;
- session replay este dezactivat in aplicatia elevului;
- analytics este limitat la evenimente necesare pentru produs si performanta.
4.3 Control parental
Parintele poate:
- vedea progresul copilului;
- vedea activitatea si competentele exersate;
- edita prenumele, numele si clasa copilului;
- sterge un cod de activare neutilizat;
- sterge contul copilului;
- retrage consimtamantul.
4.4 Separarea si accesul la date
Datele elevului sunt separate de datele parintelui. Fiecare elev poate accesa doar propriile date. Parintele poate accesa doar datele copiilor legati de contul sau. Acest lucru este aplicat prin autentificare, politici de acces si Row Level Security in baza de date.
4.5 Decizii automate si profilare
Serviciul foloseste algoritmi educationali pentru a recomanda sau programa revizuirea cardurilor in functie de raspunsurile elevului. Aceste recomandari nu produc efecte juridice si nu afecteaza in mod similar semnificativ drepturile elevului. Nu folosim profilare pentru reclame, scoring comercial sau vanzarea de date.
5. Drepturile Persoanelor Vizate
Conform GDPR, aveti urmatoarele drepturi. Parintii le pot exercita si in numele copiilor lor minori.
5.1 Acces
Puteti solicita confirmarea ca prelucram date personale si o copie a datelor, inclusiv date de cont, date de invatare, date de consimtamant, preferinte de notificari, feedback si evenimente tehnice asociate contului, acolo unde pot fi extrase.
5.2 Rectificare
Puteti corecta date inexacte. Elevul si parintele pot actualiza anumite date direct in aplicatie sau portal, inclusiv email, parola si date de profil, in functie de rol.
5.3 Stergere
Puteti solicita stergerea datelor. Pentru conturile de elev:
- Elevul poate sterge contul din aplicatia mobila sau parintele poate sterge contul copilului din portal.
- Stergerea elimina contul de autentificare, emailul, prenumele, numele, clasa si legatura parinte-copil.
- Preferintele si tokenurile de notificari sunt sterse atunci cand aceasta functie este activa in baza de date.
- Datele de invatare sunt anonimizate astfel incat sa nu mai poata fi asociate cu o persoana identificabila.
Pentru coduri de activare neutilizate, parintele le poate sterge din portal; aceasta sterge si consimtamantul asociat.
Pentru conturile de parinte, puteti solicita stergerea la contact@10laexamen.ro sau prin functionalitatile disponibile in Serviciu, daca sunt active.
5.4 Portabilitate
Puteti solicita datele intr-un format structurat, utilizat frecvent si lizibil automat, cum ar fi JSON sau CSV.
5.5 Opozitie
Va puteti opune prelucrarilor bazate pe interes legitim, inclusiv analytics si monitorizare erori. Vom analiza cererea si vom opri prelucrarea daca nu exista motive legitime imperative.
5.6 Restrictionare
Puteti solicita restrictionarea prelucrarii in situatiile prevazute de GDPR, de exemplu daca contestati exactitatea datelor.
5.7 Retragerea consimtamantului
Parintele poate retrage consimtamantul pentru copil in orice moment. Retragerea nu afecteaza legalitatea prelucrarilor facute anterior.
5.8 Plangere
Puteti depune o plangere la:
ANSPDCP - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal
Website: www.dataprotection.ro
Pentru exercitarea drepturilor, scrieti la contact@10laexamen.ro. Raspundem, de regula, in maximum 30 de zile calendaristice.
6. Retentie si Stergere
| Categorie | Perioada de retentie | Justificare |
|---|---|---|
| Cont activ elev/parinte | Pe durata utilizarii Serviciului | Executarea contractului |
| Date de invatare pentru cont activ | Pe durata contului | Functionarea algoritmului si afisarea progresului |
| Date de onboarding | Pe durata contului | Personalizarea experientei |
| Preferinte notificari | Cat timp sunt active sau pana la stergerea contului | Mementouri optionale |
| Feedback trimis de elev | Pe durata necesara corectarii continutului si auditului intern | Imbunatatirea continutului |
| Dovada consimtamantului parental | 5 ani de la acordare sau pana cand nu mai este necesara pentru apararea drepturilor noastre | Obligatie legala si dovada consimtamantului |
| Evenimente Sentry/PostHog | Conform setarilor conturilor furnizorilor, pastrate cat este necesar pentru analytics, securitate si depanare | Interes legitim |
| Jurnal audit | 3 ani de la inregistrare, daca este activ | Securitate si trasabilitate |
| Date anonimizate | Pe termen nedeterminat | Nu mai identifica o persoana |
6.1 Anonimizare
Prin anonimizare intelegem eliminarea sau ruperea legaturilor care permit identificarea unei persoane: email, user ID, prenume, nume, clasa si relatia parinte-copil. Datele ramase pot arata, de exemplu, ca un elev anonim a raspuns la anumite carduri, fara sa putem identifica persoana.
6.2 Inactivitate
Daca un cont de elev ramane inactiv pentru o perioada lunga, putem contacta parintele inainte de stergere sau anonimizare, acolo unde avem date de contact valide.
7. Securitate
Implementam masuri tehnice si organizatorice adecvate, inclusiv:
- HTTPS/TLS pentru comunicatii;
- criptare la repaus asigurata de furnizorii de infrastructura;
- parole stocate numai in forma hash prin Supabase Auth;
- Row Level Security pentru tabelele principale;
- tokenuri de sesiune gestionate de Supabase;
- acces limitat pe baza principiului privilegiului minim;
- separarea tokenurilor de notificari de datele de profil;
- CORS si verificari de autentificare pentru functii serverless;
- minimizarea datelor trimise catre Sentry si PostHog;
- audit pentru operatiuni sensibile, acolo unde este activ.
Aplicatia elevului nu solicita camera, microfon, locatie, contacte, calendar, fisiere sau fotografii. Poate solicita doar permisiunea optionala pentru notificari push.
8. Partajarea Datelor cu Terti
Nu vindem date personale. Nu partajam date cu retele de publicitate, brokeri de date sau terti in scopuri de marketing comportamental.
Folosim urmatorii procesatori:
| Furnizor | Scop | Date prelucrate |
|---|---|---|
| Supabase Inc. | Baza de date, autentificare, sesiuni, functii serverless, resetare parola | Datele de cont, profil, consimtamant, invatare, feedback si setari |
| PostHog | Analytics de produs | Evenimente de utilizare, identificatori interni, proprietati limitate |
| Sentry / Functional Software Inc. | Monitorizare erori | Erori tehnice, stack traces, contexte tehnice, identificatori interni |
| Expo Push Service | Notificari push optionale | Token push si metadate de notificare |
| Apple Push Notification service | Livrare notificari pe iOS | Token/metadate necesare livrarii |
| Firebase Cloud Messaging | Livrare notificari pe Android | Token/metadate necesare livrarii |
| Furnizori de hosting si infrastructura | Gazduire aplicatii, API si continut | Date tehnice si date stocate de aplicatii, dupa caz |
Putem divulga date si daca suntem obligati prin lege, hotarare judecatoreasca sau cerere a unei autoritati competente, ori pentru protejarea drepturilor, securitatii si integritatii Serviciului.
9. Transferuri Internationale
Datele pot fi prelucrate in Spatiul Economic European sau in afara acestuia, in functie de configurarea furnizorilor. Pentru transferuri in afara SEE folosim garantii adecvate, precum Clauze Contractuale Standard aprobate de Comisia Europeana, decizii de adecvare sau alte mecanisme permise de GDPR.
10. Cookie-uri si Tehnologii Similare
10.1 Aplicatia mobila pentru elevi
Aplicatia mobila nu foloseste cookie-uri de browser. Autentificarea este gestionata prin Supabase SDK. Analytics si erorile pot folosi identificatori interni si mecanisme SDK specifice aplicatiilor mobile.
10.2 Portalul web pentru parinti
Portalul foloseste cookie-uri strict necesare pentru autentificare si sesiune. Dupa implementarea PostHog si Sentry, portalul poate folosi cookie-uri, local storage sau identificatori similari pentru analytics de produs, stabilitate si securitate. Acestea nu sunt folosite pentru reclame sau partajare cu retele de publicitate.
10.3 Site-ul de marketing
Site-ul de marketing afiseaza informatii publice si politica de confidentialitate. Daca activam analytics sau monitorizare erori pe site-ul de marketing, acestea vor fi limitate la masurarea functionarii site-ului, securitate si imbunatatire produs, nu la reclame comportamentale.
11. Modificari ale Politicii
Putem actualiza aceasta politica atunci cand modificam Serviciul, procesatorii, categoriile de date sau cerintele legale. Vom actualiza data si versiunea. Pentru schimbari semnificative care afecteaza datele copiilor sau temeiul consimtamantului, vom solicita reconsimtamantul parintilor acolo unde este necesar.
Versiunea politicii acceptata de fiecare parinte este stocata in registrul de consimtamant.
12. Contact
Pentru intrebari sau cereri GDPR:
Foxa Learning Inc.
Email: contact@10laexamen.ro
Timp de raspuns: maximum 30 de zile calendaristice pentru cererile de exercitare a drepturilor.
Daca nu sunteti multumit de raspuns, puteti depune o plangere la:
ANSPDCP - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal
Website: www.dataprotection.ro
Versiune: 1.0.0